01 前言
近些年随着勒索即服務(Ransomware-as-a-service)模式的流行,勒索病毒形成了越來越複雜的地下黑色産業鍊結構,新的勒索家族在不斷湧現,老的家族也在不斷産生變種,給勒索病毒檢測和勒索病毒的自動化防禦都帶來巨大的挑戰。
同時,勒索病毒的操縱者們從成本效益的角度出發,改變政策,攻擊目标從廣撒網改到精準投放,打擊關鍵的高價值目标,以此換取高額贖金,并且從單純的勒索行為到與僵屍網絡,挖礦等互相結合,以實作利益的最大化。
02 10月雲上勒索态勢綜述
globeimposter和phobos家族仍然是雲上傳播勒索病毒的主要來源,占據10月公共雲勒索樣本量的近60%。值得注意的是,除網絡漏洞入侵外,RDP爆破方式進入受害者伺服器成為10月入侵方式的主旋律,由此可見,雲上的弱密碼問題仍然需要引起重視。
阿裡雲安全中心對勒索病毒一直都持有高度的關注,不斷的提高檢測能力和自動化的防禦能力,随着持續的檢測和資料挖掘,發現勒索軟體也開始加入越來越多的對抗手段來對抗防毒軟體,自動化行為防禦等安全軟體,并且針對組織的人為操作型勒索軟體的占比在不斷上升。
phobos家族樣本量躍居第一
10月份阿裡雲安全中心最新捕獲的勒索病毒家族中,影響量比較大的家族有: globeimposter,phobos,babuk,crysis,mallox,sodinokibi,Lockbit,阿裡雲安全中心反勒索服務檢測到的勒索家族樣本數量詳細占比如下圖所示:
其中phobos家族的樣本數量占比較上月有所增長,占比31%居于首位,其次globeimposter家族的樣本數量稍有下降,以占比28%位居第二位。
遠端RDP爆破攻擊大幅攀升 弱密碼需加強管理
phobos和globeimposter家族分别出現于2018年12月和2017年4月,它們的主要攻擊方式是通過RDP爆破或從黑市購買登入憑證進行遠端登陸投毒,在成功入侵伺服器後,黑客還會嘗試橫向滲透,在區域網路中尋找新的攻擊目标。
統一的RDP弱密碼存在危險性,一旦所有伺服器都設定統一的弱密碼,則意味着每台都極易被攻破,而一旦某台被攻破,其它伺服器也可使用相同密碼進行入侵,進而出現在極短時間内,大規模癱瘓的現象。提醒雲上運維人員加強密碼安全管理。
除此之外,這兩個家族曾經也使用過釣魚郵件、軟體捆綁、系統/軟體漏洞等方式進行攻擊,不過相較于RDP爆破,其他方式的占比較少。
八成攻擊危害性大:可禁用系統備份
活躍家族的攻擊行為占比超過雲上當月勒索攻擊發起數量的8成以上,而在8月份卷土重來的Lockbit 2.0 在雲上并未大範圍爆發,其聲明的 ”雙重勒索模式“ 還沒有出現具體的案例。
阿裡雲安全中心反勒索服務檢測到的勒索家族具體的勒索攻擊數量詳細數量統計如下圖所示:
另外,這兩個家族都有删除系統卷影、禁用系統備份等操作。系統一旦被勒索,就隻能通過支付贖金來恢複資料,自出現以來一直具備非常大的危害性。阿裡雲安全中心的病毒防禦功能會自動攔截這兩個家族的勒索行為,避免使用者資料蒙受損失。
03
攻擊團夥資訊披露
攻擊者郵箱資訊披露
使用沙箱對這些樣本進行進行了深度分析和行為抓取,2021年10月份出現的黑客勒索郵箱清單如下所示,photos勒索家族的郵箱域名主要以email.tg為主,這是一個今年4月份就非常活躍的勒索團夥,樣本目前還在活躍中。
勒索家族字尾資訊披露
04 防護建議
阿裡雲安全中心綜合靜态二進制檢測,沙箱行為分析,hash庫攔截,病毒行為防禦,誘餌目錄捕獲,HBR備份恢複的功能,實作從勒索檢測、防禦到檔案恢複一體化的勒索解決方案,保護雲上的資料免受勒索病毒的危害,同時持續性的關注雲上的勒索攻擊态勢,跟蹤新型勒索變種或者家族的演進過程,及時的更新病毒庫和防禦政策,最大程度的保證雲上的資料安全。
近一個月以來,根據自動化攔截資料統計,在開啟病毒主動防禦的情況下,阿裡雲安全中心對流行勒索家族的自動化防禦成功率達到90%以上。
阿裡雲雲安全中心(主機防禦)已經實作逐層遞進的縱深式防禦:
首先借助雲上全方位的威脅情報,雲安全中心實作了對大量已知勒索病毒的實時防禦,在企業主機資源被病毒感染的第一時間進行攔截,避免發生檔案被病毒加密而進行勒索的情況;
其次,通過放置誘餌的方式,雲安全中心實時捕捉可能的勒索病毒行為,尤其針對新型未知的勒索病毒,一旦識别到有異常加密行為發生,會立刻攔截同時通知使用者進行排查,進行清理;
最後,在做好對勒索病毒防禦的情況下,雲安全中心還支援檔案備份服務,能定期對指定檔案進行備份,支援按時間按檔案版本恢複,在極端情況發生而導緻檔案被加密時,能夠通過檔案恢複的方式找回,做到萬無一失。
阿裡雲雲安全中心使用者隻需要在控制台“主動防禦 - 防勒索”中,開通“防勒索”功能:
附:近期全球勒索大事件
與勒索解密情報
過去的Q3季度,歐美各地區的政府和執法部門針對勒索産業的打擊力度持續加大,盡管采取了一系列的打擊措施,勒索攻擊事件依然在穩步增加。據不完全統計,在過去的第三季度中,贖金支付金額的中位數相較上季度增加了52%。從該資料上看,來自中型企業的支付比例增加,這可能說明,部分勒索團夥為了避免被各國執法部門的關注,繼而試圖将攻擊目标由大型企業轉為中小型企業。
在低風險,高收益的誘惑下,"老牌"勒索家族依舊在不斷的産生新變種,也可以預見未來将會湧現更多的新型勒索家族。下面是阿裡雲安全盤點了10月份的勒索大事件以及勒索解密工具的相關情報:
01 歐洲刑警組織在本月進行了多起針對勒索團夥的執法行動
本月,歐洲刑警組織宣布逮捕了12名勒索團夥的攻擊者,據悉,這12名攻擊者與全球71個國家/地區所發生的1800多起勒索事件均有關聯。根據執法部門的報告,攻擊者使用了LockerGoga、MegaCortex和Dharma等勒索軟體,以及Trickbot銀行木馬和Cobalt Strike等工具。
02 Sinclair電視台遭受勒索軟體攻擊而癱瘓
據悉,美國東部時間10月18日,Sinclair Broadcast Group确認已遭受勒索軟體攻擊,并且攻擊者還竊取了公司的内部資料。Sinclair Broadcast Group廣播電視集團是一家财富500強公司,其集團業務包括185家隸屬于Fox、ABC、CBS、NBC和CW的電視台,以及在全美87個市場擁有約620個頻道(占美國家庭總數的近40%)。
03 主機闆廠商技嘉遭受AvosLocker勒索軟體攻擊
AvosLocker勒索軟體首次發現于2021年6月,與大多數勒索團夥一樣,AvosLocker以RaaS模式營運。10月20日AvosLocker釋放了一切盜取的資料來證明此次對技嘉廠商的攻擊,這些資料包括使用者名、密碼、員工工資單、人力資源檔案等資料。這是技嘉近3個月内第二次遭受勒索軟體攻擊,早在8月初就遭受了RansomEXX勒索團夥的攻擊,且被盜取了112G的内部資料,其中包括了其與Intel、AMD、American Megatrends之前往來的商業機密檔案。此外,目前尚不清楚8 月初的攻擊是否與此次AvosLocker的攻擊事件有關。
04 香港數字營銷公司Fimmick遭受勒索軟體攻擊
香港營銷公司Fimmick遭受了REvil勒索軟體入侵,其團夥宣稱已盜取1TB的内部資料。Fimmick的資料庫中有來自多個全球品牌的資料,REvil團夥在其暗網部落格中釋出了竊取的資料目錄,其名單包含了Cetaphil、麥當勞、可口可樂、Adidas和Kate Spade、 Acuvue等企業。
05 Morphisec發現基于Golang的勒索軟體DECAF
Morphisec Labs在九月下旬發現了一款處在開發階段的勒索軟體 并命名為DECAF。而在十月份攻擊者就迅速的推出了第一個預釋出版。該勒索軟體基于Go語言發開,采用了AES+RSA非對稱加密,加密檔案的字尾為.decaf。而在預釋出版的勒索信中,攻擊者還沒有确定具體的郵箱位址。
勒索解密情報:
Avast在本月釋出了兩款解密器
Avast家族在十月份釋出了兩款針對AtomSilo和LockFile家族以及Babuk家族的解密器,AtomSilo解密器依賴已知的檔案格式來判斷是否解密成功,對于一些未知格式的檔案可能無法解密。而Babuk解密器使用了其組織成員洩露源代碼中的解密密鑰,是以可能隻對部分受害者有效。
工具下載下傳位址:
AtomSilo & LockFile解密器:
https://s-decryptors.avcdn.net/decryptors/avast_decryptor_atomsilo.exeBabuk解密器:
https://s-decryptors.avcdn.net/decryptors/avast_decryptor_babuk.exe參考連結
- https://sec-lab.aliyun.com/2021/07/01/Globeimposter%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%96%B0%E5%8F%98%E7%A7%8D%E5%88%86%E6%9E%90/
- https://blog.morphisec.com/decaf-ransomware-a-new-golang-threat-makes-its-appearance/
- https://www.coveware.com/blog/2021/10/20/ransomware-attacks-continue-as-pressure-mounts
- https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-october-29th-2021-making-arrests/
- https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-atom-silo-and-lockfile-ransomware/
- https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/
- https://www.privacysharks.com/gigabyte-breached-by-ransomware-group-avoslocker-data-up-for-sale/
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。